image

Citrix-servers ziekenhuis Leeuwarden mogelijk doelwit aanval

woensdag 15 januari 2020, 11:48 door Redactie, 32 reacties

Het Medisch Centrum Leeuwarden (MCL), één van de grootste ziekenhuizen van Nederland, heeft vanwege een mogelijke aanval op de Citrix-servers al het dataverkeer met de buitenwereld afgesloten. Daardoor kunnen patiënten tijdelijk niet bij hun elektronisch patiëntendossier.

Ook dataverkeer met andere ziekenhuizen wordt gehinderd en medewerkers kunnen geen gebruik maken van hun thuiswerkplek, zo laat MCL in een verklaring op de eigen website weten. "Het MCL heeft vastgesteld dat hackers een poging hebben gedaan in te breken in de digitale systemen van het MCL. Uit voorzorg heeft het MCL daarom alle dataverkeer met de buitenwereld tijdelijk afgesloten", aldus het ziekenhuis.

Het MCL laat verder weten dat het Citrix-servers voor de communicatie met de buitenwereld gebruikt. "Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt. Deze aanval heeft naar verwachting te maken met deze kwetsbaarheid in Citrix", stelt het ziekenhuis. Door het afsluiten van het extern dataverkeer wil het MCL voorkomen dat kwaadwillenden bij bedrijfsgegevens kunnen komen. Tevens zegt het MCL dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd.

Hoelang het dataverkeer zal zijn afgesloten is nog niet bekend. "We weten nog niet hoelang het gaat duren. Dat hangt mede af van de snelheid waarmee Citrix de problemen kan oplossen", voegt het MCL verder toe. De interne communicatie binnen het ziekenhuis en de patiëntenzorg zou geen hinder van de maatregel ondervinden.

Beveiligingsupdate

Citrix heeft aangegeven dat het volgende week met een beveiligingsupdate voor de kwetsbaarheid in de eigen software komt. Tevens zijn er mitigatiemaatregelen die organisaties in afwachting van de update kunnen nemen. Een kwetsbaarheid in de Citrix Application Delivery Controller (ADC) en Citrix Gateway, die respectievelijk bekend stonden als de NetScaler ADC en NetScaler Gateway, maakt het mogelijk voor aanvallers om het systeem volledig over te nemen en mogelijk het achterliggende netwerk aan te vallen. Aanvallers zoeken inmiddels naar kwetsbare Citrix-servers. In Nederland werden eerder nog 713 kwetsbare systemen gevonden.

Reacties (32)
15-01-2020, 11:56 door Anoniem
Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,
15-01-2020, 11:57 door Anoniem
Dan wordt het overal aangegeven en zit je niks te doen op de IT afdeling.
15-01-2020, 12:02 door Anoniem
Moeten we dit nu gaan zien als 'de laatste optie' waarbij het ziekenhuis hun zaakjes niet op orde heeft? Of juist als 'de enige juiste beslissing' omdat er geen andere mogelijkheid is om de beveiliging van gegevens te waarborgen?

Naast dat iedere inkoper zich zou moeten afvragen welke afspraken zij hebben gemaakt met hun software leverancier over security patches, gaat het interessant zijn om te zien welke organisaties nog meer hun Citrix netscaler gaan uitschakelen.

Voorlopig staat die van de Rijksoverheid nog online op flex2rijk.nl ...
15-01-2020, 12:08 door Anoniem
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,

Door Anoniem: Dan wordt het overal aangegeven en zit je niks te doen op de IT afdeling.

De oplossing die Shitrix begin december uitstuurde bleek niet een volledige mitigatie te zijn. Pas gisteren is bekend geworden dat er nog andere aanvalsvectoren zijn. Daar kan een beheerder dus niets aan doen.

Wisten jullie dat? Of zitten jullie alleen op security.nl?

Peter
15-01-2020, 12:18 door Anoniem
prutsers.

eerst de code niet aanpassen waarmee je het hele probleem verhelpt, en daarna alles wat maar naar Citrix ruikt uitzetten, behalve aan de binnenkant: "De interne communicatie binnen het ziekenhuis en de patiëntenzorg zou geen hinder van de maatregel ondervinden"

dus dan loopt de hacker eerst naar binnen...
15-01-2020, 12:41 door Anoniem
Door Anoniem: prutsers.

eerst de code niet aanpassen waarmee je het hele probleem verhelpt, en daarna alles wat maar naar Citrix ruikt uitzetten, behalve aan de binnenkant: "De interne communicatie binnen het ziekenhuis en de patiëntenzorg zou geen hinder van de maatregel ondervinden"

dus dan loopt de hacker eerst naar binnen...

[ironie]Ja, even overvliegen vanuit Rusland of China hebben ze er graag voor over.
want vanuit je luie stoel een ander kwetsbaar slachtoffer op internet vinden om aan te vallen is veel te inspannend,
veel te ingewikkeld en veel te duur.[/ironie]
15-01-2020, 12:51 door souplost - Bijgewerkt: 15-01-2020, 12:55
Ergelijk dat en bepaalde groep altijd naar systeembeheerders meent te moeten wijzen.
Managers hebben besloten om deze Citrix oplossing uit te zetten en dat is de enige juiste beslissing omdat Citrix nog steeds geen patch heeft en mitigation steps niet afdoende zijn
De grote boosdoener is Citrix.
15-01-2020, 12:54 door DDK
ik ben heel erg benieuwd of er nu ook een lampje gaat branden bij de Authoriteit Persoonsgegevens... dit zou zomaar een hele goede reden zijn ..

De AVG gaat nl ook over beschikbaarheid en betrouwbaarheid van gegevens. Bovendien is hier sprake van bijzondere persoonsgegevens (medische gegevens).

Het ziekenhuis geeft aan dat ze alles hebben gedaan wat Citrix heeft geadviseerd en het wachten is op de leverancier voor een oplossing. Daamee zetten ze zichzelf buitenspel bij een eventuele schuldvraag/oorzaak ... Da's wel heel erg makkelijk.


DDK
15-01-2020, 13:07 door Anoniem
Door Anoniem:
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,

Door Anoniem: Dan wordt het overal aangegeven en zit je niks te doen op de IT afdeling.

De oplossing die Shitrix begin december uitstuurde bleek niet een volledige mitigatie te zijn. Pas gisteren is bekend geworden dat er nog andere aanvalsvectoren zijn. Daar kan een beheerder dus niets aan doen.

Wisten jullie dat? Of zitten jullie alleen op security.nl?

Peter
Ik ben erg benieuwd naar je bron hiervan.

Tot zo ver ik weet, zorgen de responder actions er voor dat expoit niet uitgevoerd kan worden.
15-01-2020, 13:20 door Anoniem
Voor wat peter meldt over het ontbreken van de mitigerende maatregelen, die op 16december zijn afgegeven zijn afdoende en zijn nog steeds geldend.

https://support.citrix.com/article/CTX267679
15-01-2020, 13:24 door Anoniem
Door Anoniem:
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,

Door Anoniem: Dan wordt het overal aangegeven en zit je niks te doen op de IT afdeling.

De oplossing die Shitrix begin december uitstuurde bleek niet een volledige mitigatie te zijn. Pas gisteren is bekend geworden dat er nog andere aanvalsvectoren zijn. Daar kan een beheerder dus niets aan doen.

Wisten jullie dat? Of zitten jullie alleen op security.nl?

Peter

Dit is de enige juiste beslissing die het MCL kon nemen. En ja de mitigatie blijkt inderdaad niet volledig te zijn sinds gisteren en als er dan geen patch is en je wordt aangevallen dan rest er dus niets anders als fysiek de stekker er uit te trekken.

Voor velen met commentaar hier: het is een poging, het MCL is open over hun besluit en motivatie, doet onderzoek. Heeft al het mogelijke gedaan wat door leverancier is aangereikt, blijkt niet afdoende en heeft dus geen andere oplossing als afsluiten.

Ik denk dat de wijze waarop het MCL nu handelt en communiceert een voorbeeld kan en moet zijn voor iedereen!
15-01-2020, 13:29 door Anoniem
Door Anoniem: Moeten we dit nu gaan zien als 'de laatste optie' waarbij het ziekenhuis hun zaakjes niet op orde heeft? Of juist als 'de enige juiste beslissing' omdat er geen andere mogelijkheid is om de beveiliging van gegevens te waarborgen?

Naast dat iedere inkoper zich zou moeten afvragen welke afspraken zij hebben gemaakt met hun software leverancier over security patches, gaat het interessant zijn om te zien welke organisaties nog meer hun Citrix netscaler gaan uitschakelen.

Voorlopig staat die van de Rijksoverheid nog online op flex2rijk.nl ...
cve-2019-19781 --log-level=debug www.flex2rijk.nl
2020-01-15 13:28:01,998 DEBUG Disabling insecure request warnings.
2020-01-15 13:28:01,998 DEBUG Disabling URL normalization.
2020-01-15 13:28:02,000 DEBUG Creating connection pool, retries=2, timeout=10s
2020-01-15 13:28:02,000 DEBUG Connecting to https://www.flex2rijk.nl/vpn/../vpns/
2020-01-15 13:28:02,001 DEBUG Converted retries value: 2 -> Retry(total=2, connect=None, read=None, redirect=0, status=None)
2020-01-15 13:28:02,002 DEBUG Starting new HTTPS connection (1): www.flex2rijk.nl:443
2020-01-15 13:28:02,071 DEBUG https://www.flex2rijk.nl:443 "GET /vpn/../vpns/ HTTP/1.1" 403 None
2020-01-15 13:28:02,072 DEBUG Response status: 403
2020-01-15 13:28:02,073 DEBUG Data:
2020-01-15 13:28:02,075 INFO www.flex2rijk.nl does not appear to be vulnerable.

Niks op je zorgen over te maken :)
15-01-2020, 13:49 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,

Door Anoniem: Dan wordt het overal aangegeven en zit je niks te doen op de IT afdeling.

De oplossing die Shitrix begin december uitstuurde bleek niet een volledige mitigatie te zijn. Pas gisteren is bekend geworden dat er nog andere aanvalsvectoren zijn. Daar kan een beheerder dus niets aan doen.

Wisten jullie dat? Of zitten jullie alleen op security.nl?

Peter

Dit is de enige juiste beslissing die het MCL kon nemen. En ja de mitigatie blijkt inderdaad niet volledig te zijn sinds gisteren en als er dan geen patch is en je wordt aangevallen dan rest er dus niets anders als fysiek de stekker er uit te trekken.

Voor velen met commentaar hier: het is een poging, het MCL is open over hun besluit en motivatie, doet onderzoek. Heeft al het mogelijke gedaan wat door leverancier is aangereikt, blijkt niet afdoende en heeft dus geen andere oplossing als afsluiten.

Ik denk dat de wijze waarop het MCL nu handelt en communiceert een voorbeeld kan en moet zijn voor iedereen!

Mensen die paniek lopen te zaaien en vervolgens geen bronnen voor hun uitingen bijvoegen kunnen IMHO beter helemaal niet reageren.
15-01-2020, 14:02 door Anoniem
Door DDK: ik ben heel erg benieuwd of er nu ook een lampje gaat branden bij de Authoriteit Persoonsgegevens... dit zou zomaar een hele goede reden zijn ..

De AVG gaat nl ook over beschikbaarheid en betrouwbaarheid van gegevens. Bovendien is hier sprake van bijzondere persoonsgegevens (medische gegevens).

Het ziekenhuis geeft aan dat ze alles hebben gedaan wat Citrix heeft geadviseerd en het wachten is op de leverancier voor een oplossing. Daamee zetten ze zichzelf buitenspel bij een eventuele schuldvraag/oorzaak ... Da's wel heel erg makkelijk.

DDK

Dat vind ik ook te makkelijk. Het MCL beweert:

"... Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt. Deze aanval heeft naar verwachting te maken met deze kwetsbaarheid in Citrix", stelt het ziekenhuis. ..."

Nou, daar is het MCL niet zorgvuldig in zijn formulering, want de melding van Citrix dateert namelijk al van 16-12-2019, en de eerste melding van het NCSC van 18-12-2019:
https://support.citrix.com/article/CTX267679
https://advisories.ncsc.nl/advisory?id=NCSC-2019-0979


"... Tevens zegt het MCL dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd ..."

Tja, bedoelt het MCL hier mee VOOR of NA de door hen nu gemelde "mogelijke aanval" ...
Ik denk er na, want anders zou de malware geen kans hebben via deze vector.
Hopelijk heeft het MCL wel de Windows-servers maximaal beschermd en (op tijd) adequate IDS, IPS, SIEM operationeel ...
Zo niet, dan heeft (Clop)malware zich al wekenlang kunnen nestelen ... Maastrichtse toestanden in Leeuwarden.
15-01-2020, 14:17 door User2048
Ik ben het eens met Anoniem @13:24. Het is een goede zaak dat de (mogelijke) aanval is opgemerkt. Vervolgens is er adequaat gereageerd om de schade te beperken. De AP zou dit juist moeten toejuichen.

Kijk eens hier: https://www.nist.gov/cyberframework/online-learning/five-functions. Het ziekenhuis heeft veel van deze stappen keurig uitgevoerd.
15-01-2020, 15:01 door Erik van Straten
In elk geval de woordvoerder snapt niks van beveiliging. Uit https://nos.nl/artikel/2318734-hackpoging-ziekenhuis-leeuwarden-dataverkeer-stilgelegd.html:
"Grootste probleem is dat patiënten nu vanuit huis niet bij hun dossier kunnen. Dus als ze dat wel willen, moeten ze ouderwets even bellen met de poli", zegt de woordvoerder.

"U spreekt met Barbie, wat is de uitslag van mijn laatste onderzoek?"
15-01-2020, 15:17 door Anoniem
Ok,

Elk medisch item in ziekenhuizen zijn lek .


de terminal bij je dokter ook


handig


Worden de verantwoordelijken nog opgepakt ?


of ?
15-01-2020, 15:18 door Anoniem
Wat is dit voor een troep oplossing eigenlijk?
15-01-2020, 16:31 door karma4 - Bijgewerkt: 15-01-2020, 16:40
Door Erik van Straten: In elk geval de woordvoerder snapt niks van beveiliging. Uit https://nos.nl/artikel/2318734-hackpoging-ziekenhuis-leeuwarden-dataverkeer-stilgelegd.html:
"Grootste probleem is dat patiënten nu vanuit huis niet bij hun dossier kunnen. Dus als ze dat wel willen, moeten ze ouderwets even bellen met de poli", zegt de woordvoerder.

"U spreekt met Barbie, wat is de uitslag van mijn laatste onderzoek?"
Nog vreemder: de Citrix omgeving die uitgezet is de verbinding voor thuiswerken van de interne medewerkers.
Wat dat met het opvragen door patiënten van doen heeft is raadselachtig. Voor dat deel hebben ze toch epic draaien...

Door Anoniem:
Mensen die paniek lopen te zaaien en vervolgens geen bronnen voor hun uitingen bijvoegen kunnen IMHO beter helemaal niet reageren.
Kijk even bij https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen Dat gemist? dan ongeschikt aanvinken.
15-01-2020, 16:42 door Anoniem
Door karma4:
Door Erik van Straten: In elk geval de woordvoerder snapt niks van beveiliging. Uit https://nos.nl/artikel/2318734-hackpoging-ziekenhuis-leeuwarden-dataverkeer-stilgelegd.html:
"Grootste probleem is dat patiënten nu vanuit huis niet bij hun dossier kunnen. Dus als ze dat wel willen, moeten ze ouderwets even bellen met de poli", zegt de woordvoerder.

"U spreekt met Barbie, wat is de uitslag van mijn laatste onderzoek?"
Nog vreemder: de Citrix omgeving die uitgezet is de verbinding voor thuiswerken van de interne medewerkers.
Wat dat met het opvragen door patiënten van doen heeft is raadselachtig. Voor dat deel hebben ze toch epic draaien...

Door Anoniem:
Mensen die paniek lopen te zaaien en vervolgens geen bronnen voor hun uitingen bijvoegen kunnen IMHO beter helemaal niet reageren.
Kijk even bij https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen Dat gemist? dan ongeschikt aanvinken.

diezelfde netscalers kunnen ook dienst doen als loadbalancers.
15-01-2020, 16:53 door Anoniem
Door karma4:
Door Anoniem:
Mensen die paniek lopen te zaaien en vervolgens geen bronnen voor hun uitingen bijvoegen kunnen IMHO beter helemaal niet reageren.
Kijk even bij https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen Dat gemist? dan ongeschikt aanvinken.
Alleen niets nieuws sinds 16 december. Oplossing is nog steeds het zelfde sinds die dag.
15-01-2020, 16:59 door Anoniem
Net op de radio gehoord van de woordvoerder dat zij wel de "Mitigation Steps for CVE-2019-19781" hebben uitgevoerd in het verleden maar dat dit niet voldoende was.

Is er sinds maandag een nieuwe methode bij gekomen? Omdat dat suggereert de woordvoerder.
15-01-2020, 17:14 door karma4
Door Anoniem: diezelfde netscalers kunnen ook dienst doen als loadbalancers.
Voor de Epic webinterface naar buiten? Dat zou een heel vreemd ontwerp zijn, extern patiëmten ondersteunen en interne medewerkers via het web via een enkele server, even checken:
https://www.mcl.nl/patient/mijnmcl ja je hebt gelijk, die base website doet het wel, het aanloggen niet.
Tja er stond ook "alle data dataverkeer" terwijl Citrix benoemd was als voor thuiswerken.
15-01-2020, 17:32 door Anoniem
Door Anoniem: Net op de radio gehoord van de woordvoerder dat zij wel de "Mitigation Steps for CVE-2019-19781" hebben uitgevoerd in het verleden maar dat dit niet voldoende was.

Is er sinds maandag een nieuwe methode bij gekomen? Omdat dat suggereert de woordvoerder.
Ja oké, maar hoe ver in het verleden? Zutphen heeft bijvoorbeeld gezegd dat ze het afgelopen maandag (2 dagen nadat er POCs waren dus) gedaan hadden, dat is ook in het verleden.

Het zou kunnen dat er iemand misbruik van zo'n exploit heeft gemaakt voor er publieke exploits geweest zijn, dus ik wil ze best het voordeel van de twijfel geven. Maar aangezien ook het bericht wat ze op hun website gezet hebben onvolledig en feitelijk onjuist is ("Eerder deze week werd bekend dat er een kwetsbaarheid in Citrix was ontdekt" - nee, die kwetsbaarheid is al iets van 3 weken bekend, en het advies om mitigerende maatregelen te nemen is ook al iets van 3 weken geleden uitgekomen), weet ik niet of ik ze dat voordeel van de twijfel gun. Mijn onderbuikgevoel zegt dat ze gewoon te laat waren met mitigerende maatregelen, en er later pas achter kwamen dat ze toch gepwned waren, maar dat is speculeren van mijn kant.
15-01-2020, 17:58 door Anoniem
Door karma4:
Door Anoniem: diezelfde netscalers kunnen ook dienst doen als loadbalancers.
Voor de Epic webinterface naar buiten? Dat zou een heel vreemd ontwerp zijn, extern patiëmten ondersteunen en interne medewerkers via het web via een enkele server, even checken:
https://www.mcl.nl/patient/mijnmcl ja je hebt gelijk, die base website doet het wel, het aanloggen niet.
Tja er stond ook "alle data dataverkeer" terwijl Citrix benoemd was als voor thuiswerken.
loadbalancers? Kan de Netscaler of adc ook heel goed doen.
15-01-2020, 18:11 door Anoniem
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,
"Tevens zegt het MCL dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd."
15-01-2020, 19:07 door Anoniem
Ja, er is een nieuwe methode.
Dit is de aangepaste mitigatie waarmee de aanvallers buiten de deur gehouden moeten worden:
https://www.linkedin.com/feed/update/urn:li:activity:6622861445287817218/

Als dat nu nog een week blijkt te voldoen om de boze geesten buiten de deur te houden, dan komen de echte updates voor deze ellende.

Michael.
15-01-2020, 20:19 door The FOSS
Door karma4:
Door Anoniem:
Mensen die paniek lopen te zaaien en vervolgens geen bronnen voor hun uitingen bijvoegen kunnen IMHO beter helemaal niet reageren.
Kijk even bij https://www.ncsc.nl/actueel/nieuws/2020/januari/13/vele-nederlandse-citrix-servers-kwetsbaar-voor-aanvallen Dat gemist? dan ongeschikt aanvinken.

Kijk, dat bedoel ik nou...
15-01-2020, 21:54 door Anoniem
Zag een leuke verhaal op linkedin over ransomware dat veel security processen alleen op papier staan maar niett getest zijn. https://www.linkedin.com/pulse/rise-ransomware-why-get-access-company-consumers-perry-mertens-/
16-01-2020, 08:49 door Anoniem
Door Anoniem:
Door Anoniem: Carriere move voor de systeembeheerder daar binnenkort. Als je het nieuws niet bijhoudt, dan ben je geen cent waard,
"Tevens zegt het MCL dat het alle maatregelen heeft genomen die Citrix heeft geadviseerd."
Alleen zeggen ze niet WANNEER ze dat gedaan hebben. Ze zeggen WEL op hun website dat de kwetsbaarheid pas deze week bekend is (wat niet waar is).

Als je die maatregelen pas maandag of dinsdag genomen hebt, ben je gewoon te laat geweest.
16-01-2020, 23:31 door Anoniem
Een interview met ICT expert Ralph Moonen (secura.com), in Nieuwsuur, woensdag 15 januari. Volgens een woordvoerder van het NCSC zouden de ziekenhuizen: "... niet [zijn] gedefinieerd als vitale infrastructuur." Daarom werden de netwerkbeheerders van de ziekenhuizen door het NCSC niet expliciet over de kwetsbaarheden in Citrix ingelicht...

Uitzending Nieuwsuur,
over Citrix, 1ste item

https://www.npostart.nl/nieuwsuur/15-01-2020/VPWON_1310678
17-01-2020, 11:42 door Anoniem
Door Anoniem: Een interview met ICT expert Ralph Moonen (secura.com), in Nieuwsuur, woensdag 15 januari. Volgens een woordvoerder van het NCSC zouden de ziekenhuizen: "... niet [zijn] gedefinieerd als vitale infrastructuur." Daarom werden de netwerkbeheerders van de ziekenhuizen door het NCSC niet expliciet over de kwetsbaarheden in Citrix ingelicht...

Uitzending Nieuwsuur,
over Citrix, 1ste item

https://www.npostart.nl/nieuwsuur/15-01-2020/VPWON_1310678

Waarschuwen van de ziekenhuizen is de taak van Z-CERT (www.z-cert.nl), het ICT expertisecentrum van de zorgsector zelf. De huisartsenposten, GGZ en medische laboratoria vallen ook onder de Z-CERT. Het bestaan van Z-CERT komt in die Nieuwsuur uitzending niet aan bod. Wel minister Grapperhaus en een hele stoet Tweede Kamer leden.

https://www.security.nl/posting/639590/Citrix+waarschuwt+dat+workaround+voor+ernstig+lek+niet+altijd+werkt
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.